我从路人甲成长为王牌 A 的故事

  • ID:Huuuuu
  • 漏洞类型:XSS、URL跳转等
  • 漏洞数量:26个
  • 时间:一个月

不知从何时起,“黑客”这个很 Cool 的词就像一颗种子般,掉落在我内心丰沃却又贫瘠的土壤上。随着时间的浇灌,逐渐生根发芽。但想要成为一名真正的“黑客”,谈何容易。

窗外喧喧嚷嚷,与我“死肥宅”的生活形成鲜明对比。国庆本是举国欢庆的日子,可对我来说却度日如年。我不甘于这过分普通的人生、过于廉价的薪水、和整天整夜在床上度过的日子。开始每天胡思乱想,想我那少年时的“黑客梦”。可能正是由于我的这份不甘心,让我开始了和 xray 的故事 ...

“1”让我产生兴趣

翻身起床打开平静了很久的电脑。浏览我关注的大佬们最近分享的技术知识。此时,一个漏洞扫描工具—— xray 成功吸引了我的注意。

抱着试一下的态度,我照着使用指南将浏览器挂上了 xray 代理。将证书导入了浏览器。一打开网页...证书错误?这什么鬼?但聪明的我很快就想到了,可以通过 Burp 进行流量转发,这样应该就可以搞定关于证书的事情。果不其然页面正常了起来。当我刷了一圈网页,反过来回头看一眼日志,一些红色瞩目的标记,引起了我的注意。当一个 “1” 的反射 XSS 弹框,出现在平时浏览多次的网站上时,我开始真正对它产生了兴趣。

备注:作者之前导入证书显示证书错误可能未信任证书。

“Redirect”让我开始着迷

第二天我继续打开熟悉的网站进行测试。但开始抱着很大期望的我,逐渐冷却下来。我还是和往常一样,什么都没有发现。hhhh....

但此时,我突然想起来那个没有关闭的软件。或许?它会帮助我发现什么问题?点开那个黑漆漆的窗口,向上翻了翻日志。嗯?Redirect?这是什么?打开百度,第一栏的关键词告诉我,它是一个跳转漏洞。凭借着我看到过的知识,很快就复现了出来。但是与正常的不同的是,这个跳转在通过后端后,竟然带着当前登录用户的 Token!这让我兴奋了起来。

两个小时后,在经过仔细阅读奖励计划。我认为它是属于一个高危漏洞。这让我深深的喜欢上了这款可以“立竿见影”的扫描器。再加上配置起来很便捷,规则也不是很难。这就仿佛灰蒙蒙的天气突然来了一束冲散乌云的日光。我似乎能看到日后,它在我的测试过程中对我的帮助。

xray 助我打开挖洞之门

距离国庆已经过去两个月多月了。那个让我从一开始有点惊喜的工具,现在成为了我每日渗透的第一步。随着遇到的情况越来越多,我也越发能够灵活运用它。

2020年1月10日,阿里白帽大会在杭州举行。这一场邀请制的精英白帽聚会,深深吸引了我。同时,xray 社区与阿里联合开启大会直通卡活动,活动期间还可以白嫖 xray 高级版。一向认为阿里巴巴坚不可摧的我,开始了对阿里的挑战之旅。

通过经验以及对站点的简单判断,我选择只开启 XSS/JSONP/Redirect 这三处模块,并且降低了并发数量,来减少阿里 WAF 对我的影响。通过这样的策略,我在最初的一个星期之内发现淘宝网、阿里巴巴、1688 三个网站 6 处不同的缺陷。最终,在整个活动期间,我通过 xray 以及自己的测试,共提交漏洞26个,2个高危、13个中危、4个低危、7个未审核,成功从路人甲晋级为王牌A方块。